基于沙箱的恶意代码检测实验

实验工具及环境

1.win XP虚拟机一台(win 7也可)

2.sandboxie 沙盒计算机程序

Sandboxie是一个沙盒计算机程序,由Ronen Tzur开发,可以在32位及64位的、基于Windows NT的系统上运行(如Windows XP、Windows 7等)。Sandboxie会在系统中虚拟出一块与系统完全隔离的空间,称之为沙箱环境,在这个沙盘环境内,运行的一切程序都不会对原操作系统产生影响。Sandboxie的本意是提供安全的Web浏览以及增强隐私,但是它的许多特性使用得它非常适合进行恶意软件分析。

3.BSA(Buster Sandbox Analysis)

BSA是一款监控沙箱内进程行为的工具。通过分析程序行为对系统环境造成的影响,确定程序是否为恶意软件。通过对BSA和Sandboxie的配置,可以监控程序对文件系统、注册表、端口甚至API调用序列等的操作。

4.winpcap

Winpcap(windows packet capture)是Windows平台下一个免费、公共的网络访问系统,它为win32应用程序提供访问网络底层的能力,Winpcap不阻塞、过滤或控制其他应用程序数据报的发收,它仅仅只是监听共享网络上传送的数据报。
在本实验中,winpcap仅用于启动BSA

注意:需要配置sandboxie后,才能使得sandboxie和BSA联动

实验步骤 对恶意代码行为监控

1.启动BSA监控

进入BSA页面后,发现需要对sandbox的监控目录进行配置

我们可以先让sandboxie运行一个程序,进而找到监控目录。于是我们使sandboxie运行网页浏览器,具体步骤如图

右击点击屏幕右下角的沙箱图标,点击“浏览保存内容”,具体操作如下

此时会弹出监控目录的路径,我们把这个路径抄到BSA中即可

点击start analysis 按钮,进入监控模式
2.沙箱加载木马
我们再次通过沙箱打开已经存有的木马,点击“运行任意程序”,把木马放进去,加载运行

发现,BSA一直在监控记录信息,红框部分就是监控到的该程序调用的API信息

等不再有新条目产生后,我们从沙箱处结束程序,并点击BSA的finish analysis 按钮,结束监控

3.分析结果
a、 行为统计结果
打开view analysis fields,查看行为统计


该图罗列出恶意代码常见行为,其中yes表示当前运行程序所出现的恶意行为。该木马大体有如下恶意行为:

1.创建/修改磁盘目录
2.创建新的启动项
3.试图中止Windows会话
4.键盘记录
5.创建新服务
6.修改常见注册表项
7.存有其他可疑行为

b、详细记录
除了大体统计外,我们还可以看到程序运行的具体行为和具体操作对象
打开view report

详细报告如下

基于沙箱的恶意代码检测实验相关推荐

  1. [系统安全] 三十三.恶意代码检测(3)基于机器学习的恶意代码检测技术

    您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列.因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全.逆向分 ...

  2. [系统安全] 四十六.Powershell恶意代码检测系列 (1)Powershell基础入门及管道和变量的用法

    您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列.因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全.逆向分 ...

  3. [网络安全提高篇] 一一五.Powershell恶意代码检测 (3)Token关键词自动提取

    "网络安全提高班"新的100篇文章即将开启,包括Web渗透.内网渗透.靶场搭建.CVE复现.攻击溯源.实战及CTF总结,它将更加聚焦,更加深入,也是作者的慢慢成长史.换专业确实挺难 ...

  4. 深度学习在恶意代码检测方面的应用简单调研

    随着互联网的繁荣,现阶段的恶意代码也呈现出快速发展的趋势,主要表现为变种数量多.传播速度快.影响范围广.在这样的形势下,传统的恶意代码检测方法已经无法满足人们对恶意代码检测的要求.比如基于签名特征码的 ...

  5. [系统安全] 三十四.恶意代码检测(4)编写代码自动提取IAT表、字符串及时间信息

    您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列.因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全.逆向分 ...

  6. [系统安全] 三十一.恶意代码检测(1)恶意代码攻击溯源及恶意样本分析

    您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列.因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全.逆向分 ...

  7. 恶意代码检测技术的演化

    from:http://www.4ucode.com/Study/Topic/1407760 在本文中我们讨论了识别恶意代码的各种方法,它们彼此间在功能上(以及时间上)的联系,它们的技术以及特点.从一 ...

  8. 基于PU-Learning的恶意URL检测——半监督学习的思路来进行正例和无标记样本学习

    转载自https://www.cnblogs.com/bonelee/p/9848282.html 基于PU-Learning的恶意URL检测--半监督学习的思路来进行正例和无标记样本学习 一.背景介 ...

  9. 基于PU-Learning的恶意URL检测——半监督学习的思路来进行正例和无标记样本学习...

    PU learning问题描述 给定一个正例文档集合P和一个无标注文档集U(混合文档集),在无标注文档集中同时含有正例文档和反例文档.通过使用P和U建立一个分类器能够辨别U或测试集中的正例文档 [即想 ...

最新文章

  1. 系统架构面临的三大挑战,看 Kubernetes 监控如何解决?
  2. 【重要】有三AI计算机视觉培养计划组合优惠,4月份起发生重大变化
  3. 原来还有dynamic这东西。
  4. enum 使用规范及技巧(C# 参考)
  5. linux降内核版本_ubuntu16.04降级内核版本至3.13.0-85
  6. Python Day 21 面向对象 (面向对象的三大特性(二)继承,多态,封装,几个装饰器函数)...
  7. 腾讯云鼎实验室发布云安全攻防矩阵,绘制九大攻防路径全景图
  8. Javascript 调用百度地图不显示
  9. 2021年中国船舶甲板市场趋势报告、技术动态创新及2027年市场预测
  10. Linux运维学习笔记
  11. java8 jstack_java自带命令行工具(jcmd,jstack)
  12. rabbitMq入门
  13. Helm和kustomize
  14. 启动openoffice命令
  15. Android控制wifi开关
  16. 从成功到夺目: Google Play 2021 年度中国开发者最佳榜单
  17. nginx 实现多端口转发
  18. Redis面试题 70道
  19. 五分钟学Java:可变参数究竟是怎么一回事?
  20. 国务院新规发布:首次明确电击治网瘾犯法

热门文章

  1. endnote参考文献排版_Endnote 导入参考文献的时候,格式错误太多了。是否有什么解决办法?...
  2. 【无标题】java多线程分批同步数据设计与实现(转载)
  3. 计算机学院创新基金项目题目,关于组织开展2017年度大学生科技创新基金项目立项申报的通知...
  4. python 定时刷新网页_js定时器刷新当前页面
  5. c语言用if语句判断字符类型,C语言if语句的使用
  6. CCNA-01-GNS3仿真环境搭建及c7200路由镜像导入
  7. 数据迁移工具,用这8种就够了
  8. RBA验厂咨询,RBA-2022年生效的新政策工艺化学品清单 (IFPCL),也通过SVAP来实施
  9. 简历中尽量不要出现精通_在个人简历中,熟悉了解熟练,精通都是一种什么程度...
  10. 【数据聚类】基于改进的粒子群算法优化K-means算法实现数据分类含Matlab源码